CrowdStrike nennt OpenClaw 'AI Super Agent' und veröffentlicht Sicherheitsbewertung mit 156 Advisories

CrowdStrike-CTO Elia Zaitsev hat gerade die bisher gründlichste Sicherheitsanalyse von OpenClaw veröffentlicht. Schon der Titel sagt viel: "What Security Teams Need to Know About OpenClaw, the AI Super Agent."

Die Einordnung ist bezeichnend. CrowdStrike behandelt OpenClaw nicht als Chatbot. Sondern als autonomes System mit echtem Zugriff auf echte Infrastruktur.

Was CrowdStrike gefunden hat

Die Analyse erfasst 156 Sicherheits-Advisories insgesamt. 28 davon haben bereits CVE-IDs. Die restlichen 128 warten noch auf Zuweisung.

Schweregrade: 4 Critical, 52 High, 88 Medium, 12 Low.

56 Advisories mit Einstufung High oder Critical. Keine Kleinigkeit.

CrowdStrike identifiziert vier Angriffsvektoren:

1. Direkte Prompt Injection, bei der Angreifer schädliche Anweisungen direkt an den Agent senden
2. Indirekte Prompt Injection über kontaminierte Datenquellen, die der Agent einliest
3. Agentic Tool Chain Attacks, die ausnutzen, wie OpenClaw sich mit externen Systemen verbindet
4. AI Tool Poisoning, das auf die Plugins und Tools abzielt, auf die OpenClaw angewiesen ist

Zaitsev formuliert es so: "AI agents don't just generate answers, they can take action; operating with speed, autonomy, and privileged access to email, calendars, sensitive data, credentials, and third-party systems."

Das Skalenproblem

Censys hat 21.639 öffentlich erreichbare OpenClaw-Instanzen gefunden. Das ist eine enorme Angriffsfläche. Und die meisten dieser Instanzen laufen wahrscheinlich ohne dediziertes Sicherheitsmonitoring oder regelmäßige Patches.

CrowdStrike hat auch live demonstriert, wie Falcon AIDR einen Discord-Exfiltration-Angriff auf eine OpenClaw-Instanz blockiert. Das sind keine theoretischen Risiken. Die passieren jetzt.

CrowdStrike und NVIDIA kooperieren

Am 16. März haben CrowdStrike und NVIDIA auf der GTC die "Secure-by-Design AI Blueprint" vorgestellt. Die Blueprint integriert Falcon-Sicherheitsmodule (AIDR, Endpoint Security, Cloud Security, Identity Security) direkt in NVIDIAs OpenShell-Framework.

Die Partnerliste spricht für sich: Adobe, Atlassian, Box, Cisco, Red Hat, Salesforce, SAP, ServiceNow, Siemens, Google, Microsoft Security. Wenn Unternehmen dieser Größe anfangen, Sicherheitsframeworks speziell für KI-Agenten zu bauen, ist die Botschaft klar. Selbst gehostete KI ohne professionelles Sicherheitsmanagement wird zum Risikofaktor.

Was das für OpenClaw-Nutzer bedeutet

Wer OpenClaw auf einem VPS betreibt, den man vor sechs Monaten aufgesetzt hat, sollte bei diesem Bericht aufhorchen. 56 High/Critical-Advisories. Vier verschiedene Angriffsvektoren. Tausende exponierte Instanzen.

Managed Hosting existiert genau für solche Fälle. Bei ClawHosters bekommt jede Instanz Auto-Patching, Credential-Isolation und kontinuierliches Monitoring als Teil des Standard-Deployments. Die Schutzmaßnahmen, die CrowdStrike empfiehlt, automatisch angewendet, ohne dass du dich darum kümmern musst.

Du kannst auch unseren OpenClaw Safety Scanner nutzen, um dein aktuelles Setup zu prüfen, wenn du selbst hostest.

Der CrowdStrike-Bericht bestätigt, was wir seit Langem sagen: OpenClaw ist mächtig, aber es sicher zu betreiben erfordert mehr als docker-compose up.